зла не хватает
Nov. 22nd, 2013 08:39 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
brmailСистема, над которой я тружусь на работе вся из себя многослойная, но конечному пользователю она снаружи видна, как вебсайт.
Те открывает он браузер, вбивает юзернейм-пассворд, заходит в систему и там уже работает. Короче последние несколько дней заметно увеличилось число тикетов в систему поддержки с жалобой на невозможность залогиниться. Обычно проблема редка и решается ресетом пароля. Сами мы ту же систему используем, в административных целях, так что уж неполадки с логином точно бы заметили, ан нет. У нас все путем, а у юзеров какие то грабли. Выцепил последнего горемыку, стал выяснять что происходит, "как обгонял, как подрезал" и внезапно выясняю что он только что сменил истекший пароль, и система более его не пускает. Ресетаю ему пароль, он заходит на сайт по спец-линку, делает себе новый пароль, логинится.... и снова система пишет что пароль неверный. Короче переписка меня эта утомила прошу его показать мне десктоп и что он там делает. Он заходит на страничку, кликает на поле с именем, выбирает там запомненное имя, после чего браузер подставляет запомненный пароль, и лезет логинится, ну а пароль запомнен старый, система его не пускает, мы виноваты. Так как несколько лет назад мы это уже проходили, то в коде формы браузеру явно запрещено запоминать пароли, однако у него запоминает. Лезу в браузер, смотрю версию - IE 11. Ага, ясно опять что то нахимичили с совместимостью, хотя запрет на автокомплит это часть html страндарта, не должны бы.... Только микрософту то пофиг же:
"Why does IE11 ignore the AUTOCOMPLETE attribute on login forms while continuing to respect the attribute on all other AutoComplete input elements (e.g. address, credit cards, phone #, etc)?"
The answer is that Password Managers improve real-world security, and the IE team felt it was important to put users in control. Users rely on their password manager to permit them to comfortably use strong passwords. Password managers encourage strong, unique password creation per site, but unique, strong passwords are often difficult to remember and type on touch devices. If the browser doesn't offer to autocomplete a password, the user assumes that the browser is broken.
Бедному юзеру сложно пароли запоминать, поэтому если даже вебпейдж запрещает запоминать, мы все равно будем! А то юзеры думают, что браузер сломался... А то что при смене пароля они тоже думают что сайт сломался, это микрософт не волнует
Придется изобретать костыли видимо.
Те открывает он браузер, вбивает юзернейм-пассворд, заходит в систему и там уже работает. Короче последние несколько дней заметно увеличилось число тикетов в систему поддержки с жалобой на невозможность залогиниться. Обычно проблема редка и решается ресетом пароля. Сами мы ту же систему используем, в административных целях, так что уж неполадки с логином точно бы заметили, ан нет. У нас все путем, а у юзеров какие то грабли. Выцепил последнего горемыку, стал выяснять что происходит, "как обгонял, как подрезал" и внезапно выясняю что он только что сменил истекший пароль, и система более его не пускает. Ресетаю ему пароль, он заходит на сайт по спец-линку, делает себе новый пароль, логинится.... и снова система пишет что пароль неверный. Короче переписка меня эта утомила прошу его показать мне десктоп и что он там делает. Он заходит на страничку, кликает на поле с именем, выбирает там запомненное имя, после чего браузер подставляет запомненный пароль, и лезет логинится, ну а пароль запомнен старый, система его не пускает, мы виноваты. Так как несколько лет назад мы это уже проходили, то в коде формы браузеру явно запрещено запоминать пароли, однако у него запоминает. Лезу в браузер, смотрю версию - IE 11. Ага, ясно опять что то нахимичили с совместимостью, хотя запрет на автокомплит это часть html страндарта, не должны бы.... Только микрософту то пофиг же:
"Why does IE11 ignore the AUTOCOMPLETE attribute on login forms while continuing to respect the attribute on all other AutoComplete input elements (e.g. address, credit cards, phone #, etc)?"
The answer is that Password Managers improve real-world security, and the IE team felt it was important to put users in control. Users rely on their password manager to permit them to comfortably use strong passwords. Password managers encourage strong, unique password creation per site, but unique, strong passwords are often difficult to remember and type on touch devices. If the browser doesn't offer to autocomplete a password, the user assumes that the browser is broken.
Бедному юзеру сложно пароли запоминать, поэтому если даже вебпейдж запрещает запоминать, мы все равно будем! А то юзеры думают, что браузер сломался... А то что при смене пароля они тоже думают что сайт сломался, это микрософт не волнует
Придется изобретать костыли видимо.
no subject
Date: 2013-11-23 02:07 am (UTC)no subject
Date: 2013-11-23 05:20 am (UTC)но таки да, при смене пароля должен быть какой-то фидбек от сайта хинтящий юзеру что автокомплит протух
no subject
Date: 2013-11-23 12:28 pm (UTC)no subject
Date: 2013-11-23 03:37 pm (UTC)Я подумываю над модификацией проверки пароля - типа помнить последние два, и если предьявлен прошлый - сообщать юзеру, что он предьявил прошлый пароль, и надо его перезапомнить в авто-комплите.
Еще есть идея, пробовать определить что пассворд не был введен руками, и при ошибке говорить об этом
no subject
Date: 2013-11-23 05:09 pm (UTC)no subject
Date: 2013-11-23 07:13 pm (UTC)no subject
Date: 2013-11-23 08:12 pm (UTC)no subject
Date: 2013-11-23 03:59 pm (UTC)С 11 у самого аккурат вчера были затыки, тоже авторизационные.
no subject
Date: 2013-11-24 12:01 am (UTC)Далее, если юзер поменял пароль, то какого хрена он этот новый пароль не вводит, а полагается на старый, сохраненный? Браузер таки умный и после первого успешного логина с новым паролем таки запомнит новый. Но юзер, блин, один раз должен зайти с новым паролем или где?
P.S. пароль в браузере привязывается к урлу. Если урл при каждом логине генерить новый, то пароль подставляться не будет.
Требует настройки сервера (и DNS-a), но зато решает вопрос весьма кардинально. Но мне оно не нравится. Именно потому, что я, как пользователь, таки хочу иметь пароль сохраненным в менеджере, а не вводить руками каждый раз.
no subject
Date: 2013-11-24 04:44 am (UTC)При этом ранее использовались стандартные прописанные в html средтва, микрософт на них наплевал в новом браузере, ну значит будем считать клики и нажатия кнопок, чтобы вернуть как было